速报:宝塔面板疑似出现全新高危漏洞,目前已出现大面积入侵

影响版本:7.9.6 及以下且使用 nginx 用户

风险等级:极高

处置建议:停止使用 BT 面板且更换阿帕奇 [宝塔官方建议暂停面板]

排查方式: /www/server/ nginx/sbin 目录下文件

1. nginx 11.80 MB
2. nginxBak 4.55 MB [木马]
3. nginx 4.51M [木马]

特征:
1. 大小 4.51
2. 时间近期
3.nginx&nginxBAK 双文件

入侵者通过该漏洞拥有 root 权限,受限于面板高权限运行,修改宝塔各种账号密码 + SSH 账号密码均为无效。

入侵者可以修改 nginx 配置文件 + 数据库文件 + 网站根目录文件

站点可能出现大量日志同时 CPU 异常占用,暂不清楚漏洞点,切勿随意点击清除日志按钮

注:大量新装用户反馈出现挂马,目前 BT 官方源可能出现问题,建议暂停安装

bb.tar.gz 为上马日志,上马记录操作日志

恶意文件: systemd-private-56d86f7d8382402517f3b5-jP37av

路径:/tmp/